Windows 이벤트 뷰어 - 나는 단지 사용자 1 & ObjectName를 기반으로 사용자 2 또는 RelativeTargetName</p> <p>보고 싶어하지만,이 개체 이름 또는 RelativeTargetName에 따라 모든 사용자에 대해보고 -> XML - 나는 아래의 쿼리를보기

> 사용자 정의Windows 이벤트 뷰어 - 나는 단지 사용자 1 & ObjectName를 기반으로 사용자 2 또는 RelativeTargetName</p> <p>보고 싶어하지만,이 개체 이름 또는 RelativeTargetName에 따라 모든 사용자에 대해보고 -> XML - 나는 아래의 쿼리를보기

어떻게 제어 할 수 있습니까?

<QueryList> 
    <Query Id="0" Path="Security"> 
    <Select Path="Security"> 
    *[EventData[Data[@Name='SubjectUserName'] and (Data='user1' or Data='user2')]] 
    and 
    *[EventData[Data[@Name='ObjectName'] and (Data='E:\Path\To\Folder')]] 
    or 
    *[EventData[Data[@Name='RelativeTargetName'] and (Data='Path\To\Folder')]] 
    </Select> 
    </Query> 
</QueryList>

출처

2016-08-17 scopa

이것은

<QueryList> 
    <Query Id="0" Path="Security"> 
    <Select Path="Security"> 
    *[EventData[Data[@Name='ObjectName'] and (Data='E:\Path\To\Folder')]] and *[EventData[Data[@Name='SubjectUserName'] and (Data='user1' or Data='user2')]] 
    or 
    *[EventData[Data[@Name='RelativeTargetName'] and (Data='Path\To\Folder')]] and *[EventData[Data[@Name='SubjectUserName'] and (Data='user1' or Data='user2')]] 
    </Select> 
    </Query> 
</QueryList>

근무

출처

2016-08-17 18:33:06 scopa

Windows 이벤트 뷰어 - 나는 단지 사용자 1 & ObjectName를 기반으로 사용자 2 또는 RelativeTargetName</p> <p>보고 싶어하지만,이 개체 이름 또는 RelativeTargetName에 따라 모든 사용자에 대해보고 -> XML - 나는 아래의 쿼리를보기

답변

관련 문제